1992年、2004年，COSO委员会先后推出《内部控制整体框架》、《企业风险管理整合框架》；2013年、2017年，COSO委员会又一次重复了上次的先、后过程。是巧合，还是刻意为之？

01.勿迷于象、惑于嚣，求真需来自于心智

在企业内控、合规管理、风险管理建设的喧嚣声中，人们纷纷以巧“术”而哗、以粗“感”而述理，渐渐地迷失于“大众想象之知”的大漠荒原，沉浮于“写手册、写清单”的亢奋之中。

应用、效能、贡献，似乎变得反而不再那么重要，甚至认为推动内控、合规、风险管理工作，会给企业、员工带来不必要的负担。但可曾想过，企业的内控、合规、风控，从来都不是什么“新生事物”，而是企业运营、组织能力建设不可或缺的重要环节。

内控管理、合规管理、风险管理，均因“风险”之“物”而起。风险之“理”，为未来“偏离预期且可能带来损失”之可能状态。理者，成“物”之文也。

预期为“期望”，凡“风险”者，必先有可“预防”的确定性措施；然后，才有“影响”其走向预期的过程控制措施；最后，再有因“做事儿预期”的挑战而采取的动态举措。

先把“风险”统视为“一物”。内控管理、合规管理、风险管理，分别为施加于“风险”的三种依次递进的防控措施，三者的确定性程度，依次减弱。此谓对风险施加影响之“道”。

道，理之者也。即对所有“风险”的管控，都遵从“从确定性措施到确定性逐次弱化的措施”规律。确定性逐次弱化的措施，反映的是风险管控力度的升级，由“人”进行干预的程度开始增强。

同理，从内控管理、合规管理、风险管理每项工作的“风险措施”，也遵从这一规律。由此，内控管理、合规管理均离不开确定性的“规则”，均离不开确定性有所减弱的“过程控制”。

所以，内控管理包括为防范风险而订立的制度、流程及措施；合规管理也包括需各部门订立的“具体合规制度”。其中，内控管理、合规管理中订立的制度，指的是“标准控制型制度”，均为衡量行为结果是否“合规”的度量尺，是不可“流程化”、不可“拆分”的存在。甚至，可以认为是控制合规风险的“具体措施”。

在风控领域，采用这种说法的人，恐怕至今为止还没有出现过第二人。只有当你真实地拥有过规范管理“企业制度”、“全面风险管理”的深度经历，才能真切地认识到，但身处一线的员工，反而会“一点就通”。而制度的严肃性，决定了拥有这种“从头到尾”体认制度与流程管理、全面风险管理的人，少之又少。

其次，内控建设中的“控制活动”、合规管理中的“合规审查活动”，均为“预防风险”而订立的确定性控制活动，或存在于“制度中文字描述的流程”，或存在于被嵌入的“流程”。

我们通常讲的“内控建设”，包括两个方面：其一，指的是对来源于制度描述的流程中“单角色控制活动”进行的具体化、规范化建设，当然包括“合规审查”。其二，指的是来源于风险管理中被实践证实成功的经验固化，或反哺于制度建设，或被嵌入某个流程，或表现为表单、模板而成为风险控制措施。我将二者统称为“狭义内控建设”。

狭义内控的建设，是基于认识“管理预期与背后逻辑”为条件，而不单是依照指引进行“按葫芦画瓢”的做法。控制活动的执行过程，指的是依据“控制或审查标准进行的判断”，判断的确定性、正确性，要低于确定的“标准控制型制度”。

制度流程化，指的是管理型制度、多角色作业型制度。除此之外，我可以确定地告诉大家，你再也找不到企业中可流程化的“制度”，如果不相信，大可一试。

那么，风险管理之“道”怎么体现呢？风险管理这个词，有统称之“嫌”，容易造成与内控管理、合规管理混淆之“误”，故我刻意将之改称为“风险管控”。

风险管控采取的措施，其确定性程度，要远低于内控、合规管理中特指的“制度、流程与措施”，指的是对“做事儿风险”所采取的“影响措施”，与“人”的关系更为紧密，但与制度、流程的关联度“非常低”。

那么，风险管控针对的是什么“风险”？是内控、合规管理中依靠确定规则不能施加影响的“风险”，以及内控、合规未发生作用的风险事项。所以，即使依托“系统化流程”去实现承载风险管理的想法，最多只能反映到“风险管理”要求，而不是风险管控本身。

风险管控的措施，会随着事态的发展而不断调整，从“措施计划”到“事态趋势监视”、从风险监视到“紧急事态下的快速反应”，再到危机处理，也包括了合规管理中的“违规举报与调查”。其中，“人”的作用越来越强，但是，风险管控的知识管理，则又一次回归到确定性较强的“内控”建设。

所以，真正的风险管控，需要有一定责任驱使下的主动性，推行起来有一定的困难，必须通过建立“确定性的机制”实现，但是，对企业管理水平的升级，却具有非常大的作用。

通过以上说明，可以肯定地讲，内控、合规管理存在“局部一体化”建设的可行性，但与风控实现“一体化”，简直就是“不求本质的异想天开”。

02.先后推出内控与风控框架，是COSO刻意为之

理解COSO为什么两次先后推出内控与风控框架，不能基于“风险”的维度，而应该从企业运营管理体系的维度去认识。

企业的运营管理体系，搭建的是支撑企业战略管理的组织整体能力。企业的整体运作能力，仅仅依靠“制度”建设很难完成。原因是，制度常产生于“每个管理部门”，部门的存在与职责，决定了部门的立场。

立场的局限性，并非是什么“企业难以容忍的问题”，而是职能管理必然导致的客观现象。企业也并非像一些流程管理专家的“武断”所言，制度管理就那么一无是处。但是，可以肯定地讲，离开流程管理系统思维指导下的“传统制度”管理模式，在成本管理、整体能力、质量、效率、防风险能力等方面，确实存在“很大的稳定化局限性”。

其实，无论是制度管理还是流程管理，都有各自的优势和不足，都建立在“能人”的“系统化逻辑认识”基础上，并非制度就那么不好，也并非流程就那么优越。再好的工具，被“庸者”使用，都不会有什么好的预期。

即使用制度作为主要管理方式的企业，如果能够吸纳流程管理的一些“优势”，彼此互补，组织能力也可以实现较大幅度提升，而不需要付出巨大的流程管理投资，这就是笔者自创的“制度与流程互补建设法”。当然，本文重点不在于讨论如何做好制度管理或流程管理。

从西方企业来讲，比中国企业更注重系统、逻辑、流程，所以，很多管理学理论来自于西方，而我国在管理领域的理论创造，几乎处于“空白”状态。

无论是广义，还是狭义的内控建设，其本质仍然是“流程管理”，只不过为了突出“风险”，而演化出一种“风险与控制矩阵”而已。

设计系统化、规范化的流程，由于设计之初，已经充分吸收了最优秀员工的实践经验，预先建立了风险控制措施，流程本身可以大幅提高企业执行力，可以“规避”掉很多风险，是企业抗风险能力的体现。所以，制度、流程、表单、模板，是企业组织能力的最直接表现。

通过制度、流程建设，通过持续的企业员工能力成长，可以强化组织能力，极大缩小企业整体运营的“风险容量”。如果我们从“内控、合规”的维度，转换到“流程”的维度去看，很容易感受到“内控、合规建设”与“风控”能力的辩证关系。

这就是为什么同样的“外部风险”，对不同企业影响或冲击结果不同的原因，重点体现在企业“抗风险能力”的差异。在这种情况下，如果COSO把内控、风险管理归纳在一起，一次性推出一个二者兼备的“风险管理整体框架”，就会出现“囫囵吞枣”、无论如何都难以表述清楚的问题。

我觉得，正是基于以上原因，COSO组织先推出《内部控制整体框架》，核心的关键在于“整体”二字，指的是企业整体下的系统化控制，而不是某几个方面的分散化“控制”，可以理解成是以“流程、制度、控制措施”为代表的企业“整体抗风险能力”，最大化压缩企业的“风险容量”。

既然COSO是在研究企业的“风险管理”，基于企业“整体的抗风险能力”，并不能完全控制企业的运营风险，重点体现为“企业战略目标实现”的偏差，而衡量企业战略目标实现程度的是“绩效”，所以，COSO才在第二步推出《企业风险管理整合框架》。其中的关键，体现在“整合”二字。风控面对的领域，侧重于“规划与执行、价值创造”领域。

中国文字中的“整合”，往往反映为“混为一体”，事实上并非如此。企业战略目标的实现，既与企业“组织能力”有关，也与战略制定、实施过程中“活动”的内外环境有关，组织能力体现为流程能力、领导能力、文化环境、人力资源能力、团队能力等因素，是影响战略目标实现的“基础支撑”。整合，反映的是多角度下的“共同作用”。

如果从风险的维度认识，内控反映为“企业组织的抗风险能力”，而基于动态的、面向“内外部环境”的经营活动风险，则通过“风险管理”化解、降低。所以，COSO组织才应用了“整合”二字，并没有排除“整体内控”的能力支撑作用。

正是基于这样的逻辑理解，我才结合国务院国资委的思路，用“全面风险管理”表达包括内控、合规与风险管理三大系统结构的整体。为了进一步清晰风险管理与内控、合规的不同，把风险管理视同为一个职能或“信息搜集、风险评估、风险策略、解决方案”的程序过程，将面向战略管理过程中的“风险管理”，用“风险管控”取而代之。

通过划分，企业全面风险管理以“内控、合规与风险管控”作为三大系统，以“审计、制度、流程、组织”作为支撑企业“全面风险管理体系”的保障条件，通过建立企业“全面风险管理体系治理机制”，形成与内控对应的“组织抗风险能力”、与合规对应的“管理执行力风险控制能力”、与战略制定与实施对应的“计划执行力风险管控能力”，从而建立企业的“全面风险管理体系”，这一体系，具备了面向“各种风险”的管理能力。

如果按照这一逻辑，无论是“法律、审计、内控、合规、风控”，还是再加上哪些监督职能的“多位一体化”建设，你还能解释的清楚吗？是不是把“本来的分工”意图，又一次在无加区分的基础上，揉成了“一团乱麻”？这种做法，随便两个问题，就可以证明是“异想天开”。

03.为什么职能部门不承认法务人员识别的法律风险

为什么我一直坚持树立“全面风险管理”系统思维，而不提倡什么“多位一体”建设？在“02”中，通过“组织抗风险能力”、“管理执行力风险控制能力”、“计划执行力风险管控能力”进行了回答。其中，管理执行力，指的就是“法律与政策、制度、道德与承诺的遵从力”，即合规能力。

其实，无论企业开展什么“管理”活动，都是一种能力投资，投资就必须对齐企业的追求。而我所讲的“风险维度”的三大能力，正好对齐了企业的战略执行力、组织能力建设、法规政策与道德遵从，而不是为风险管理而“风险管理”。

在上周对某国企集团的风控系统化培训中，我参加了不限任何人、任何主题的现场“即时问题研讨”。这种做法，对本人来讲是一次挑战，需要能够对企业从“各种维度”进行认识、分析、判断的综合能力。

在各种问、答中，有一个问题印象深刻，法务部门主管领导提出：为什么他们识别出的法律要求与风险，在多次沟通情况下，人力资源部门并不认同存在法律风险？

其实，这个问题非常容易回答。首先，企业法务人员的固有思维与职责，决定了喜欢从“法规”角度思考问题，再加上该领域诸多“法律型专家”从合规管理维度进行的阐述，造成法务人员从法规角度进行“合规义务识别”，通过违规处罚措施与程度、企业业务频度等角度进行合规风险评估的现状。所以，法务人员合规风险评估的产出，是基于法律条款的“合规要求、合规限制与风险”。

为什么人力资源部门不予认同呢？首先，对于外部的法律法规与政策，企业防控法律风险的通常做法，并非像法律专家单维的“法律化”理解，是法务人员思维方式与管理方法不一致的表现。

企业在充分理解法律法规要求、限制的条件下，并不是对每一条“法律要求与限制”分别建立对应的措施，而是结合“职能工作”，通过导入工具进行风险规避。比如，建立模板、表单等，将限制性条款直接排除在外，而这种做法是“确定性措施”，意味着被规避的“风险”，已经不复存在。毕竟，企业中的部门是为了履行职责，防范法律风险是履行职责的条件，而不是唯一目的。

其次，对于法律法规要求等条款，企业必须开展相关活动，无以规避相关要求。企业会结合日常管理，通过“内建制度”进行“加严”管理，或转化为过程控制进行“风险化解”。过程控制，实质已经转化成了企业主管部门共同认同的“工作节点和基本要求”，被所有人视同为“履行职责的基本常识”。

再次，在实际工作中，企业主管部门也会形成习惯性地守法“叮嘱制”，再加上层层的行政化“有经验的把关与控制”，让工作表现的“合法合规”。

为什么双方对法律风险难以达成一致认识呢？究其原因，法务人员忽视了企业已经形成的内部管理基础能力，即已经形成的“抗风险能力”；人力资源部门则根据经验与内部管控能力，在“不经意的思维”中，完成了外部法律风险与内部能力的平衡化风险评估，得出了“不具有法律风险”的结论。

其实，在现实中的合规管理中，很多企业都出现了类似的问题，他们往往依靠对“合规管理办法”中对合规管理的定义，把法律、法规、政策、行业政策、制度等僵化地一并展现出来，本质是对“管理”表面化认知的反映。

其结果往往是：企业领导似乎总感觉产出不是那么回事儿，但碍于管理办法的说法，又讲不出不满意的理由。于是，合规管理就在混沌的认知中，混沌地传播、套用。即便如此，企业中很少有人能够认可这样的产出，但事不关己，也很少有人提出质疑。所以，到合规风险措施的时候，合规管理的词汇已经“捉襟见肘”，只能以“贯彻落实”、“严格执行”等“话术”表达。

另外，由于对风险管理的“僵化理解”，在合规管理中，往往表现出“先引出企业风险”，然后去找法律法规、政策、制度等对应的内容，思维逻辑出现了“错误”。

合规管理的基本逻辑是：企业由于不具备保证规则要求得到贯彻落实的能力，具有发生违规风险的可能。而不是因为企业存在某种风险，再去寻找对应的规则要求。发现并评估出某种风险，是内控、风控的职责，因果逻辑关系弄错了，就不要谈合规管理产出的合理性。

另外，合规风险清单是在做什么？通过系统排查企业面对的外部规则、内部制度，平衡企业执行相关规则要求的“抗风险能力”，从而评估发生“违规风险”的可能，由此而产生“合规风险清单”。

既然评估出合规风险，企业就需要采取行动，建立风险控制措施与计划，这才是“风险管理”之精要，而不是把“合规风险清单”展示出来，那还叫什么“合规管理”？企业的抗风险能力怎么能够得到提升？合规风险又怎么“关闭”呢？

企业合规管理，并非把风险摆出来，就意味着完成了风险管理，这是哪门子逻辑？管理的基本原则是“管理闭环”，而不是把问题摆出来不管，风险管理也具有同样的道理。